Avertir le modérateur

19/04/2019

Pour : un mot de passe simplifié (II)

Je veux aujourd'hui compléter un billet écrit il y a trois ans déjà à propos du mot de passe, de sa composition et surtout de sa vulnérabilité. A contre-courant de ce que je peux lire ici ou là je persiste à considérer qu'un mot de passe dit compliqué ne protège pas mieux qu'un mot de passe réputé facile à deviner. Je me propose ici d'argumenter cette idée. Commençons par la fin et explorons ensemble comment un hacker s'y prend pour pirater un mot de passe.
a) Il a installé sur l'ordinateur cible un de ces keyloggers, un logiciel qui scrute les frappes au clavier de la victime. En ce cas nous sommes bien obligé de déduire que la composition du mot de passe n'a aucune importance puisque le pirate va le découvrir instantanément.
b) Le pirate a récupéré la base de données des utilisateurs d'un site et avec un logiciel approprié il va tenter de décoder les mots de passe qui y sont stockés. Là aussi nous sommes finalement dans le même cas qu'en a), c'est-à-dire que la capacité du pirate à deviner un mot de passe n'a aucun rapport avec la complexité de ce dernier.
Il ne reste que c) et d), autrement dit la comparaison du mot de passe avec une liste et l'usage de la force brute.
Le cas c) - l'usage d'une liste - est ce que j'appelle du piratage d'opportunisme. Le pirate va essayer les uns après les autres les mots de passe habituellement les plus utilisés et espérer tomber sur le bon. Je dois avouer que j'ai du mal à concevoir que cette méthode soit réellement utilisée car elle est l'équivalent d'une attaque par déni de service, autrement dit d'une connexion directe au site visé suivi d'une suite d'essais de mots de passe tels que passwordadminuser_admin et autre 123456. On pourrait ici répliquer que dans les faits le pirate ne se connecte pas vraiment à la page d'accueil du site mais plutôt au serveur et que de là il "attaquerait" directement la base de données. Oui mais alors cela voudrait dire qu'ici le maillon faible est la sécurité du site et non pas la qualité du mot de passe.
Pour moi il ne reste plus que d), la force brute. Notre pirate va essayer - via un logiciel bien sûr - toutes les combinaisons possibles, une à une, en partant de aaaa et en allant jusqu'à zzzz. Là au moins il est sûr de trouver le mot de passe ; sauf que comme nous allons le voir le temps risque fort de lui manquer.
Nous en arrivons alors à la seconde partie de mon raisonnement, la constitution du mot de passe en lui-même. Imaginons la situation suivante : Je créé un compte sur un site internet et je dois pour cela définir un mot de passe. Je me décide alors pour "ridicule" ; oui, comme l'adjectif. Quels sont les risques pour moi d'être piraté avec un tel mot de passe ?
Des cas a), b) et c) déjà vus je dois surtout craindre c) car après tout "ridicule" est un mot du dictionnaire, un parmi 50 000 certes. Mais comme déjà dit plus haut je n'y crois pas un seul instant.
Par contre j'ai tout à craindre de la force brute car mon mot de passe se situe quelque part entre "aaaaaaaa" et "zzzzzzzz" et avec la méthode d) mon pirate passera forcément à un moment ou à un autre par "r-i-d-i-c-u-l-e". J'ai toutefois ici un allié de poids, les mathématiques combinatoires, car apprenez qu'il est possible de former 417 654 129 152 combinaisons différentes quand un mot de passe a 8 caractères de long. Avouez que c'est beaucoup... Et encore, comment le pirate peut t-il savoir que dans mon mot de passe il n'y a que des minuscules et aucun chiffre ni caractère spécial (tel que @ & _ ou *) ?
N'est-il pas au contraire contraint de présupposer leur présence dans mon mot de passe ? Dès lors ce n'est plus dans une liste de 26 caractères possibles qu'il devra chercher mais dans une liste de 62 caractères*. En effet si ça se trouve j'ai tapé "RiDiCUle" comme mot de passe ou encore "R*d@Cul_". Le seul indice facile dont dispose mon pirate c'est la taille du mot de passe, ici 8 caractères de long.
Mais comme je viens de l'écrire doit-il chercher parmi les seules minuscules, les minuscules et majuscules mélangées ou alors parmi une combinaison de chiffres et de lettres ? Faute d'éléments en sa possession il va devoir prendre en compte le plus grand dénominateur.
Ainsi, le mot de passe "ridicule" est en position 139 051 448 099 si on ne compte que sur les minuscules et en position 96 118 177 285 565 s'il faut prendre en compte chiffres et lettres.
En supposant que son logiciel soit capable d'explorer 40 000 combinaisons à la seconde - ce qui n'est déjà pas si mal** - il lui faudra 96 jours (24h/24 ...) avant d'arriver à mon "ridicule". Et encore ! Il lui faudra avoir parié que je n'utilisais que des minuscules dans mon mot de passe. Faute de ce renseignement il devra attendre 66 015 jours, autrement dit un peu plus de 180 années avant de pouvoir utiliser mon compte à mon insu***.
Dès lors permettez-moi de considérer que mon "ridicule" protège tout autant qu'un mot de passe réputé compliqué à pirater.
CQFD.

* Je dis 62 mais je ne compte pas les caractères spéciaux : 10 chiffres + 26 minuscules + 26 majuscules = 62 caractères différents. Ajoutons les caractères spéciaux et cela ferait 70.
** A la fin de la première seconde notre pirate n'en sera qu'à "aaaachel"...
*** Il est possible de me réclamer le détail complet de mon calcul, histoire de le vérifier et pourquoi pas ? de le contredire.

20/11/2016

Pour : un mot de passe simplifié

On nous le répète pourtant jamais assez, quel que soit le site internet sur lequel nous avons un compte il faut un mot de passe complexe. Au risque de paraître à contre-courant je considère que c'est là une précaution inutile* et que "123456" nous protège tout autant - ou aussi peu - que par exemple "azr**ei59hJiF".
Pourquoi j'affirme cela ? Tout simplement parce que la technique "brutale" consistant à essayer un mot de passe jusqu'à ce que ça marche est une technique qui n'existe pas. Les pirates ont autre chose à faire que de tester au clavier "12345" , "password" ou autre "admin_user".
Dans les faits les hackers - dont je ne nie pas l'existence, bien au contraire - volent la base de données contenant votre login et votre mot de passe et cherchent ensuite à "casser" la base dans son ensemble, autrement dit à la décrypter, la décoder. Et à ce stade peu importe que votre mot de passe soit complexe ou pas car l'algorithme qui va le "deviner" n'est pas construit selon un système de force brute, essayer tous les codes possibles et imaginables jusqu'à tomber sur le bon.
Prenons maintenant un raisonnement inverse et imaginons que vous allez pour la première fois sur un site internet et qu'à l'inscription vous entrez votre e-mail en guise de compte utilisateur et "12345" comme mot de passe. Quels sont les risques ?
Primo, vous avez sans le savoir un "key-logger" dans votre ordinateur, un logiciel espion qui va scruter vos frappes clavier. En ce cas peu importe la complexité du mot de passe que vous venez d'entrer puisque c'est la saisie même qui est en cause.
Deuxio, un pirate essaie de se connecter à votre place sur le site en question. Il faut pour cela déjà supposer qu'il a auparavant "volé" votre adresse e-mail ou pourquoi pas l'essayer au hasard (jean.dupont@gmail.com va sûrement se reconnaître ... ).
Mais même ainsi notre pirate n'a pas d'indices, pas plus sur votre mot de passe que sur les sites sur lesquels vous êtes inscrits. On peut ici argumenter que l'utilisation du lien "mot de passe oublié" est un maillon faible dans la protection. Mais si un pirate utilise cette solution, il devra pour réussir avoir déjà piraté l'accès à vos messages e-mail. Sans compter que de toute façon le site concerné renvoit sur une page de ré-initialisation du mot de passe, ce qui implique que le pirate entre son propre mot de passe avec votre compte et que par conséquent il ne connaîtra toujours pas le mot de passe que vous aviez utilisé....
C'est pour toutes ces raisons que je considère qu'un mot de passe compliqué à deviner n'apporte aucune protection supplémentaire par rapport à un mot de passe simple à deviner.

* Oui, j'adore Beaumarchais.

07/05/2011

Je n'y crois pas : le développement de la fraude à la carte bancaire sur Internet

Au risque de passer pour un provocateur en mal de reconnaissance(1), je ne crois pas au développement de la fraude à la carte bancaire sur Internet tel qu'on peut le lire ici. L'article est pourtant alarmiste : "les fraudes bancaires [atteignent] des niveaux préoccupants" déclare Jean-Marc Bornet, administrateur du Groupement CB (GIE) ; nous nous devons de le croire.
Mais la suite de l'article - pour aussi paradoxal que cela puisse paraître - casse cette assertion. On nous explique en effet que "dans certains cas, le pirate détourne les coordonnées du porteur de carte sur un site marchand". Quels sont ces cas, quels sites marchands, quels modes opératoires, on ne le sait pas. Tout juste apprend t-on que ce n'est pas à "grande échelle". De là à dire que ce sont des actes très isolés c'est un pas que je franchis.
Ce qui nous est expliqué c'est que la fraude est en réalité une fraude en amont d'internet, avant tout acte d'achat. Le pirate entre en possession physique d'une carte qui ne lui appartient pas. Autrement dit pas de scrutation des frappes clavier, pas de mot passe craqué, pas de virus non plus... Non plus prosaïquement un bon vieux vol à l'ancienne, voire l'utilisation de la carte du conjoint / beau-frère / oncle ou autre sans en avoir reçu l'autorisation expresse.
Pour ma part j'estime qu'Internet fait la preuve de sa sécurité, puisque lorsqu'on est bel et bien le possesseur de la carte bancaire, faire ses achats sur Internet ne présente aucun risque. C'est à l'extérieur du web qu'il faut être prudent. Il est dommage de constater que l'article en question ne le rappelle pas...

(1) Pour reprendre un mot que je déteste je ne cherche pas à faire de "buzz" quoi qu'on en dise.

15/02/2009

L'accès à tout l'Internet bientôt impossible

Le sujet est passé presque inaperçu, mais dans l'avalanche des annonces faites vendredi 13 février par Nicolas Sarkozy(1) figure la censure d'Internet. Car comment appeler autrement le procédé qui consiste pour le législateur de décider quels seront les sites "autorisés" et ceux qui seront "interdits" ?
Pour expliquer sa décision, le Président de la République s'appuie sur un argument imparable, la lutte contre la pédopornographie. Qui pourrait en effet raisonnablement s'y opposer ? Pas moi en tout cas, et pourtant je suis contre l'idée de bloquer ces sites. Position bien dangereuse vous en conviendrez, mais suivez néanmoins mon raisonnement : Une fois cette loi en place, et peu importe la méthode technique qui sera utilisée, l'utilisateur lambda d'internet aura accès à l'immense majorité des sites web mais non à une infime minorité, jugée illégale d'après la Loi. Mais comment imaginer qu'on en restera là ? Quid des sites qui font l'apologie du négationnisme ou de l'homophobie, pour ne reprendre que deux opinions interdites par la loi ? On ne va tout de même pas créer une "échelle de l'horreur" pour décider des sites à interdire ou pas. Voyez également l'anorexie ou l'incitation au suicide, sans parler des sectes...Je frémis non pas aux sites que l'on veut fermer aujourd'hui, mais aux sites que l'on voudra fermer demain et après-demain. L'Enfer est pavé de bonnes intentions suis-je tenté d'écrire, même si les obstacles ne manqueront pas.
Voyez aussi l'anecdote suivante, que je vous certifie authentique : une entreprise du secteur privé décide de filtrer les accès internet de ses salariés. Pour ce faire elle prend un abonnement auprès d'un fournisseur qui recense dans une base de données les sites interdits. A l'installation le filtre est monté tel quel, c'est-à-dire que l'entreprise n'a ajouté ou retranché aucun autre site que ceux listés d'origine par le fournisseur. Les sites internet des quatre principales centrales syndicales (CGT, CGT-FO, CFDT, CFTC) sont filtrés - autrement dit interdits - alors que dans le même temps les sites internet de la CFE-CGC et du MEDEF sont autorisés(2). Où s'arrêtera la future loi ? Qui décidera des sites à filtrer ou pas ? Faudra t-il par exemple interdire les sites "créationnistes" ? Et quel comportement adopter face aux sites internet qui militent pour légaliser ce qui est aujourd'hui interdit par la loi(3) ? Je l'ai déjà écrit et je le répète sans état d'âme, la liberté sur Internet est un bien précieux qu'il faut cultiver en dépit de ses mauvaises graines.


(1) Outre le blocage des sites internet faisant l'apologie de la pédopornographie, Nicolas Sarkozy a annoncé dans la même journée la création de 200.000 places d'accueil pour jeunes enfants, la mise en place d'un "statut" pour le beau-parent, un projet de loi concernant l'adoption ainsi que la prochaine tenue d'un conseil inter-ministériel dédié à l'Outre-mer.
(2) L'entreprise a tout de suite admis qu'il y avait un "problème", et a retiré du filtre les sites syndicaux en question.
(3) Exemple de l'adoption par des couples homosexuels, de la procréation par mère porteuse ou du droit à l'euthanasie.

05/01/2009

Internet : La censure au secours de la démocratie ?

L'Australie, qui a pourtant bien les pieds sur Terre en dépit de sa position sur le globe, serait-elle tombée sur la tête ? Car il est question dans ce pays de filtrer Internet, rien que cela. On le sait, certains pays le font déjà, dont la Chine et la Corée du Nord, et parfois avec la complaisance pour ne pas dire la complicité de grandes sociétés (Google, Microsoft). Mais on sait également à quoi s'en tenir dans ces pays à propos de la liberté d'expression, de la liberté de la presse ou bien encore de la libre pensée politique...
Pour en revenir à l'Australie donc, il est fortement question de filtrer Internet au travers d'une base de données qui serait scrutée à chaque demande d'accès à un site web. Si le site que vous souhaitez voir n'est pas dans la liste, c'est bon vous pourrez le consulter. Mais s'il est "black-listé", alors vous ne pourrez pas. L'argument lié à la mise en place de ce dispositif est aussi imparable qu'incontestable : Il faut défendre la protection de l'enfance et lutter contre la pornographie, la cyber-criminalité, le terrorisme...
Derrière cela se cache quelque chose de bien pire : le contrôle d'Internet. Jusqu'à présent Internet est (était?) "libre" : en France et dans la plupart des pays du Monde, l'accès aux sites n'est soumis à aucun filtre. C'est la loi et elle seule qui peut déterminer si un site doit être fermé ou pas, et parfois pour des raisons moins grandioses. Pour ajouter à l'excellent texte que j'ai trouvé ici, je rappelle au lecteur qu'en France la loi initiale créant le fichage ADN des individus était réservé aux seuls délinquants sexuels multi-récidivistes. Cela a bien changé depuis (et très vite !), puisque ces derniers temps un jeune homme a du aller devant les juges pour faire admettre qu'on ne pouvait pas lui prélever son ADN au seul motif qu'il était voisin. Il a eu gain de cause, mais s'il n'avait pas lutté juridiquement son ADN serait dans le fichier (en tant que ... voisin je le rappelle). Un ballon d'essai concernant le filtrage d'Internet en France a été lancé – avec discrétion peut-être – mais il faut bien commencer un jour à sonder les foules et l'opinion...
La Liberté est un bien précieux qu'il faut cultiver en dépit de ses mauvaises graines. Notre monde n'est pas parfait et Internet ne le sera pas plus, même filtré. La lutte contre ces fléaux que sont la pédo-pornographie, la drogue ou le terrorisme passe par la loi(1) et l'éducation des masses, pas par une base de données des sites internet à ne pas visiter.

(1) Je sais qu'il y a des pervers partout, et peut-être s'en trouvera t-il un pour me dire que ce sera la Loi qui instituera la création d'une base de données filtrant les sites internet interdits...

 
Toute l'info avec 20minutes.fr, l'actualité en temps réel Toute l'info avec 20minutes.fr : l'actualité en temps réel | tout le sport : analyses, résultats et matchs en direct
high-tech | arts & stars : toute l'actu people | l'actu en images | La une des lecteurs : votre blog fait l'actu